Volver al inicio

Actualizaciones de Joomla 6.0.4: Parches de Seguridad

Joomla 6.0.4 y 5.4.4 corrigen seis vulnerabilidades principales, incluyendo inyecciones SQL y XSS. Errores en el panel de admin, programador de tareas y TinyMCE corregidos. Actualización inmediata recomendada para sitios en producción.

Joomla 6.0.4: Correcciones de SQLi y XSS para Desarrolladores
Advertisement 728x90

Joomla 6.0.4 y 5.4.4: Parches de seguridad clave y correcciones de errores

Los desarrolladores de Joomla han lanzado las versiones 6.0.4 y 5.4.4, centradas en abordar vulnerabilidades y errores críticos. Estas versiones afectan al núcleo de las series 5.x y 6.x, reforzando las defensas contra inyecciones SQL, XSS y violaciones de ACL. Las actualizaciones son obligatorias para todas las instalaciones activas, ya que afectan a los componentes com_ajax, com_content y com_joomlaupdate.

Vulnerabilidades del núcleo: Desglose detallado

Las actualizaciones corrigen seis vectores de ataque clave:

  • Core [20260301]: Refuerzo de ACL en com_ajax, que impide el acceso no autorizado a los endpoints AJAX.
  • Core [20260302]: Bloqueo de inyección SQL en el servicio web de com_content para el endpoint de artículos.
  • Core [20260303]: Corrección de XSS en el modo de comparación de asociaciones (com_associations).
  • Core [20260304]: Resolución de múltiples problemas XSS en el renderizado del encabezado del material.
  • Core [20260305]: Prohibición de eliminación arbitraria de archivos mediante com_joomlaupdate.
  • Core [20260306]: Validación adecuada de derechos de acceso en la API de servicios web.

Estos parches minimizan los riesgos de explotación en entornos de producción que involucran entradas de usuario e interfaces de administración.

Google AdInline article slot

Correcciones de errores en interfaz y renderizado

Las actualizaciones incluyen correcciones para la estabilidad del panel de administración y el frontend:

  • Eliminado el parpadeo de iconos en la barra lateral del administrador.
  • Suprimidas las advertencias de PHP en la ventana modal «Salto de página».
  • Normalizado el renderizado de marcadores de posición en solicitudes GET al contenido.
  • Restaurado el icono de edición de medios cuando no hay plugins de acción.
  • Corregidas las rutas relativas de CSS/JS en las páginas de error de la plantilla Cassiopeia.

Estos cambios mejoran la experiencia de usuario para desarrolladores de nivel intermedio y avanzado que trabajan con plantillas y extensiones personalizadas.

Mejoras en componentes del backend

Enfoque en la fiabilidad de los servicios del sistema:

Google AdInline article slot
  • El botón «Versiones» está oculto cuando el componente de historial de contenido está deshabilitado.
  • MailHelper ahora analiza correctamente dominios con caracteres inválidos.
  • El programador de tareas es resistente a trabajos bloqueados: la ejecución continúa sin romper la cadena.
  • TinyMCE se inicializa de forma fiable en Firefox Developer Edition.

Estas correcciones son críticas para tareas del servidor donde la tolerancia a fallos afecta a las tareas cron y procesos automatizados.

Recomendaciones de actualización

Antes de actualizar, realiza una copia de seguridad de tu base de datos y sistema de archivos. Prueba en un servidor de staging, verificando:

  • Plugins personalizados en com_ajax y com_content.
  • Integraciones con APIs externas mediante servicios web.
  • Renderizado del frontend en asociaciones y gestor de medios.

Después de actualizar, monitorea los registros en busca de advertencias persistentes de PHP 8.x+.

Google AdInline article slot

Puntos clave

  • Seis vulnerabilidades tipo CVE en el núcleo: SQLi, XSS, ACL y eliminación de archivos.
  • Estabilización de administración: iconos, modales, marcadores de posición.
  • Correcciones de backend: programador, MailHelper, TinyMCE en Firefox.
  • Actualización obligatoria para todas las ramas LTS 5.x/6.x.

— Editorial Team

Advertisement 728x90

Leer después